A PSG é uma empresa de capital de crescimento que estabelece parcerias com empresas de software e serviços tecnológicos para as ajudar a navegar no crescimento transformacional, a capitalizar oportunidades estratégicas e a construir equipas fortes. Tendo apoiado mais de 150 empresas e facilitado mais de 520 aquisições adicionais, a PSG traz uma vasta experiência de investimento, uma profunda especialização em software e tecnologia e um firme compromisso de colaboração com as equipas de gestão. Fundada em 2014, a PSG opera a partir de escritórios em Boston, Kansas City, Londres, Paris, Madrid e Tel Aviv. Para saber mais sobre a PSG, visite www.psgequity.com.

‍

O PSG adopta uma abordagem estratégica e pragmática à capacitação operacional, incluindo a segurança. Quando procuraram unificar a segurança das aplicações em todo o portefólio, recorreram ao Aikido.

Falámos com Adam Glick, Diretor de Segurança da Informação da PSG, sobre a forma como o Aikido ajuda a empresa a apoiar a segurança e o papel que a plataforma desempenha agora na diligência, supervisão e capacitação.
‍

Olá, Adam! Podes começar por te apresentar e apresentar a tua função no PSG?

Sou o CISO da PSG. Estou na empresa há cerca de dois anos. As minhas responsabilidades são duas: supervisiono a TI interna e a InfoSec na própria PSG e também actuo como uma função de governação e supervisão para as empresas da carteira. Isso significa ajudar a garantir que as empresas do nosso portefólio ("PortCos" ou "empresas do portefólio") estão a investir em segurança, a amadurecer os seus programas e a enviar código seguro.

‍

Como é que o PSG apoia as empresas da sua carteira no que diz respeito à segurança?

Temos uma equipa de operações que ajuda os nossos PortCos no dia a dia: quer se trate de seleção de tecnologia, contratação, estratégia GTM ou, sim, segurança. Trabalhamos com eles para avaliar fornecedores, criar políticas, preparar-nos para auditorias ou resolver desafios de conformidade.

Na frente da segurança, estamos lá para ajudar as empresas da nossa carteira a compreender o que é necessário e a encontrar as ferramentas e os parceiros certos para o conseguir.

‍

Que papel desempenha a segurança das aplicações nas estruturas que incentiva?

Acreditamos que a AppSec é um dos princípios fundamentais de qualquer organização de desenvolvimento. Esperamos que os nossos PortCos dêem prioridade a práticas de codificação seguras, tanto para o risco organizacional como para a integridade da reputação. A nossa função é apoiar os nossos PortCos na sua avaliação e adoção de ferramentas de codificação segura. 

‍

O que levou a PSG a explorar uma iniciativa de segurança de aplicações para todo o portefólio?

Qualquer iniciativa que possamos implementar em toda a carteira é uma vitória. Se conseguirmos identificar uma necessidade programática ou sistémica (especialmente em algo como a segurança), vale a pena resolvê-la de uma forma unificada. 

‍

Como é que identificou as ferramentas adequadas para este tipo de iniciativa?

Temos pontos de contacto regulares com os nossos PortCos e conhecemos a sua maturidade. Este nível de envolvimento dá-nos visibilidade sobre as áreas em que as soluções partilhadas podem ser úteis para toda a carteira.

O maior desafio quando se adopta uma iniciativa de aplicações para todo o portefólio é minimizar o atrito. Cada empresa é diferente. A questão é: qual é o denominador comum? Precisávamos de uma solução que pudesse funcionar para a maioria das empresas com o mínimo de obstáculos à implementação.

‍

Então, como é que o Aikido se destacou?

A facilidade de implementação foi um fator importante. Assim que concluímos as nossas diligências e assinámos o contrato, pudemos ligar uma empresa ao Aikido e começar a digitalizar em segundos, literalmente. Sem ajustes finos, sem dores de cabeça. Só isso eliminou uma barreira importante.

‍

"Assim que concluímos as nossas diligências e assinámos o contrato, pudemos ligar uma empresa ao Aikido e começar a digitalizar em segundos, literalmente."

‍

Mas, para além disso, a amplitude das capacidades técnicas: SAST, DAST, CSPM, digitalização de secrets ... tudo integrado numa única plataforma, foi realmente convincente. Para o PSG, a implementação foi leve em termos de esforço e pesada em termos de resultados.

E a relação com os executivos era importante. Queremos saber que, se algo correr mal, temos pessoas ao leme que nos ajudam a resolver o problema rapidamente. A nossa experiência com a equipa executiva da Aikido tem sido positiva.

‍

Como é que abordou a implementação em toda a carteira?

Levámos a implementação a sério. Não era apenas "Aqui está uma ferramenta, vá usá-la". Fizemos sessões de sensibilização, horas de expediente, reuniões individuais com líderes de desenvolvimento, documentação, canais do Slack para apoio em tempo real... Basicamente, tudo o que podíamos para garantir que os nossos PortCos estavam preparados para o sucesso.

‍

Não se tratou apenas de dizer: "Aqui está uma ferramenta, vai usá-la. Fizemos sessões de sensibilização, horas de expediente, sessões individuais... basicamente tudo o que podíamos para garantir que os nossos PortCos estavam preparados para o sucesso."

‍

Tanto a Aikido como a PSG tinham pontos de contacto. Estávamos disponíveis em vários canais para garantir respostas rápidas. A vertente de capacitação era tão importante como a própria tecnologia.

‍

Que papel desempenha o Portal do Parceiro de Aikido na sua supervisão?

Existe aí um grande potencial. Atualmente, utilizamo-lo para identificar rapidamente os principais CVE (como "Quem tem o CVE-2024-XXXX?") e contactar as empresas afectadas.

Dito isto, estamos a insistir em capacidades de relatório mais fortes. Gostaríamos de ver mais tendências a nível macro. Coisas como tendências de vulnerabilidade em todo o portefólio ou taxas de correção empresa a empresa. A Aikido tem sido muito recetiva a este feedback e estamos a colaborar em melhorias.

‍

Como descreveria o "antes" e o "depois" da coordenação da segurança no PSG?

Antes, as ferramentas estavam mais fragmentadas. Cada PortCo escolhia o que lhe convinha. Isso não é intrinsecamente mau, mas torna a supervisão e o apoio muito mais difíceis.

Agora, existe algo central que não existia antes. Tivemos um feedback positivo dos utilizadores. A ferramenta é fácil de adotar e genuinamente útil. Ainda estamos a começar a quantificar o impacto, mas, de um modo geral, tem sido muito positivo.

‍

Começou a utilizar o Aikido de outras formas para além da segurança da carteira?

‍

"Estamos a começar a incorporar o Aikido nos nossos fluxos de trabalho de diligência... Dá-nos uma visão mais informada do que estamos a adquirir."

‍

Sim. Estamos a começar a incorporar o Aikido nos nossos fluxos de trabalho de diligência. Quando avaliamos novas empresas para potencial aquisição, podemos ligá-las ao Aikido e obter informações imediatas sobre a sua postura de segurança, sem precisar de aceder ao próprio código. Sentimos que isso nos dá uma visão mais informada do que estamos a adquirir.

‍

Algum conselho para quem está a implementar iniciativas tecnológicas numa carteira?

‍

"Não existe um tamanho único para todos, mas existe um tamanho único para a maioria, e achamos que o Aikido se encaixa nesse ponto ideal."

‍

Sem dúvida. Uma coisa que aprendemos foi a não ser demasiado prescritivos no espaço de TI. Utilizamos aquilo a que chamo a abordagem "estrada Netflix bem percorrida" (com base no estilo de gestão da empresa). Dizemos às empresas quais os resultados de que precisamos. Digamos, um programa de codificação seguro, por exemplo, mas não dizemos exatamente como lá chegar.

O Aikido é um ótimo exemplo: é uma recomendação forte, não um mandato. Se funcionar para si, ótimo. Se não, procure o que funciona. Não existe um tamanho único para todos, mas existe um tamanho único para a maioria, e achamos que o Aikido se encaixa nesse ponto ideal.

‍

Considerações finais?

‍

A Aikido tem sido um parceiro fantástico. Quer se trate de suporte no canal Slack, disponibilidade de liderança ou capacidade de resposta do produto, eles têm cumprido consistentemente. Tem sido uma óptima relação.

‍